业务安全漏洞挖掘归纳总结计划.docx

业务安全漏洞发掘归纳总结计划 业务安全漏洞发掘归纳总结计划 PAGE / NUMPAGES 业务安全漏洞发掘归纳总结计划 业务安全漏洞发掘归纳总结 逻辑漏洞发掘素来是安全测试中“长久不衰”的话题。对照 SQL 注入、 XSS 漏洞等传统安全漏洞，现在的攻击者更倾向于利用业务逻辑层的应用安全问题，这 类问题经常危害巨大，可能造成了企业的财富损失和名誉受损，并且传统的安全防 御设备和措施见效甚微。今天漏洞盒子安全研究团队就与大家分享 Web 安全测试 中逻辑漏洞的发掘经验。 一：订单金额任意更正 解析 很多中小型的购物网站都存在这个漏洞。在提交订单的时候抓取数据包也许直接修 改前端代码，尔后对订单的金额任意更正。 以以下图所示： 经常有到的参数大多为 rmb value amount cash fee money 等 关于支付的逻辑漏洞这一块还有很多种思路，比方相同价格增加订单数量，相同订 单数量减少产品价格，订单价格设定为负数等等。 预防思路 订单需要多重效验，以以下图所演示。 订单数值较大时需要人工审察订单信息，以以下图所演示。 我可是提到两个特别简单的预防思路，第二个甚至还有一些不足之处。这里需要依照业务环境的不相同总结出自己的预防方式，最好咨询特地的网络安全企业。 二：考据码回传 解析 这个漏洞主若是发生在前端考据处，并且经常发生的地址在于 账号密码找回 账号注册 支付订单等 考据码主要发送路子 邮箱邮件 手机短信 其运行体系以以下图所示： 黑客只要要抓取 Response 数据包便知道考据码是多少。 预防思路 数据内不包含考据码， 考据方式主要采用后端考据， 但是弊端是服务器 的运算压力也会随之增加。 2.若是要进行前端考据的话也可以，但是需要进行加密。自然，这个流程图还有一 些安全弊端，需要依照企业业务的不相同而进行更正。 三．未进行登陆凭证考据 解析 有些业务的接口，由于缺少了对用户的登陆凭证的效验也许是考据存在弊端，以致 黑客可以未经授权接见这些敏感信息甚至是越权操作。 常有案例： 1. 某电商后台主页面，直接在管理员 web 路径后边输入 之类的即可进 入。 2. 某航空企业订单 ID 列举 某电子认证中心敏感文件下载 4.某站越权操作及弊端，其主要原因是没对 ID 参数做 cookie 考据以致。 本质上还有很多案例，这里就不一一例举了，但是他们都存在一个共同的特点， 就是没有对用户的登陆凭证进行效验，以以下图为例。 预防思路 对敏感数据存在的接口和页面做 cookie ，ssid ，token 也许其他考据，以以下图所示。 四：接口无量制列举 解析 有些要点性的接口由于没有做考据也许其他预防体系，简单遇到列举攻击。 常有案例： 某电商登陆接口无考据以致撞库 某招聘网考据码无量制列举 某快递企业优惠券列举 某电商会员卡卡号列举 某商场注册用户信息获取 预防思路 在输入接口设置考据，如 token ，考据码等。 若是设定考据码，最好不要单纯的采用一个前端考据，最好选择后端考据。 若是设定 token ，请保证每个 token 只能采用一次，并且对 token 设准时间参数。 注册界面的接口不要返回太多敏感信息，以防遇到黑客制作列举字典。 考据码请不要以短数字来甚至，最好是以字母加数字进行组合，并且考据码需要设准时间限时。 优惠券， VIP 卡号请尽量不要存在规律性和简短性，并且优惠券最好是以数字加字母进行组合。 以上这是部分个人建议，本质方案需要参照业务的详细情况。 五： cookie 设计存在弊端 解析 这里需要对其详细的说一下。我们先一个一个来吧。 Cookie 的效验值过于简单。有些 web 关于 cookie 的生成过于单一也许简单，以致黑客可以对 cookie 的效验值进行一个列举，以以下图所示 依照上图，我们可以解析出，这家网站关于 cookie 的效验只单纯的采用了一组数 字，并且数值为常量，不会改变，这样特别简单遇到黑客的列举。甚至有一些网站 做的更简单，直接以用户名，邮箱号也许用户 ID 等来作为 cookie 的判断标准。 2. cookie 设置存在被盗风险 有很多时候，若是一个用户的 cookie 被盗取，就算用户怎么更正账号和密码，那 段 cookie 相同有效。详情可以参照 《 BlackHat （世界黑帽大会）官方 APP 出现两个逻辑漏洞》 。 其原理以下： 国内大部分厂商都不会把这个地方看作安全漏洞来办理，他们以为这个漏洞的利用 条件是黑客必定要大批量获获取用户的 cookie 。诚然事实这样， 但是这个也是一个 安全隐患。 3.用户的 cookie 数据加密应严格使用标准加密算法，并注意密钥管理。 有一些厂商为了图方便，没有对用户的 cookie 做太多的加密工作，